你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
使用 Azure Policy 保护 Azure 负载测试资源
Azure Policy 是一种治理工具,可支持你强制实施组织标准和大规模评估合规性。 借助这些策略,可以对 Azure 环境执行审核、实时强制实施和修正。 审核结果在合规性仪表板中提供。 在仪表板中,可以查看哪些资源和组件符合和不符合要求,并采取修正措施。 有关详细信息,请参阅 Azure Policy 服务概述。
在以下情况下,可使用 Azure 策略管理负载测试资源:
- 专用测试
- 如果想要确保只能在专用测试流量模式下创建 Azure 负载测试中的负载测试。
- 如果想要确保仅在订阅中的一组虚拟网络内创建虚拟机、网络安全组 (NSG)、Azure 负载均衡器和 Azure 负载测试服务创建的公共 IP 等资源。
- 客户管理的密钥
- 你想要使用客户管理的密钥 (CMK) 来管理 Azure 负载测试资源的静态加密。
策略影响和指南的类型
强制执行策略时,可以确定它对生成的评估的效果。 每个策略定义都支持从多种效果中选择其中一种。 因此,策略强制实施的行为可能会有所不同,具体取决于要评估的操作类型。 一般情况下,与 Azure 负载测试集成的策略的影响包括:
审核:当策略的效果设置为
Audit时,策略不会对环境造成任何中断性变更。 该策略会就不符合指定范围内策略定义的 Azure 负载测试资源像你发出警报。 组件将在策略符合性仪表板中标记为不符合。 如果未选择任何策略影响,则默认使用Audit值。拒绝:当策略的效果设置为
Deny时,该策略会阻止创建不符合策略定义的新测试运行。 现有的不符合测试运行和资源不受影响。 “审核”功能将继续运行。已禁用:当策略的效果设置为
Disabled时,将会对策略进行评估,但强制实施不会生效。 此效果对于针对特定条件(而不是所有条件)禁用策略非常有用。
内置策略定义
预先确定的策略(称为“内置”)支持对负载测试资源进行治理,因此无需编写 JSON 格式的自定义策略来强制实施与最佳安全做法关联的常用规则。 尽管内置是预先确定的,但某些策略也要求你定义参数。 例如,通过定义策略的效果,可以在强制实施拒绝操作之前审核负载测试资源以防止中断。 请参阅 Azure 负载测试的内置策略,以查看可用于 Azure 负载测试的当前内置策略。
启用和管理负载测试策略
选择策略定义
登录到 Azure 门户。 1. 在搜索栏中搜索“策略”,然后选择“策略”。
在“策略”窗口中,选择“定义”。
在“类别”筛选器中,取消选择“全选”,然后选择“Azure 负载测试”。
现在,你应该能够看到可用于 Azure 负载测试的所有策略。 请确保阅读并了解策略指导,然后选择要分配给范围的策略。
将策略分配到范围
选择要应用的策略。 本例中显示的是“应仅针对虚拟网络中的专用终结点运行使用 Azure 负载测试的负载测试”策略。 单击左上角的“分配”按钮。
选择要应用策略的订阅。
你可以选择将范围限制为一个订阅中的单个资源组。
如果要将策略应用于整个订阅并排除某些资源组,还可以配置排除列表。
如果希望产生策略的影响(审核或拒绝),则将策略强制实施选择器设置为“启用”;如果希望关闭影响(审核或拒绝),则将策略强制实施选择器设置为“禁用”。
要指定策略效果,请选择屏幕顶部的参数选项卡。
取消选中“仅显示需要输入或审阅的参数”选项。
按照策略指导选择“审核”、“拒绝”或“已禁用”作为策略的效果。
选择“查看 + 创建”按钮。
功能限制
“应仅针对虚拟网络中的专用终结点运行使用 Azure 负载测试的负载测试”策略仅适用于在策略分配后触发的负载测试。 如果选择了“审核”效果,则包全违反策略的负载测试运行的 Azure 负载测试资源将显示为不符合。 如果要修正,请删除违反策略的测试运行并重新分配策略。
分配具有“拒绝”效果的策略可能需要 30 分钟(平均)或最多一小时才能开始拒绝创建不合规的资源。 延迟是指以下方案:
- 已分配新策略。
- 已更改现有策略分配。
- 使用现有策略在范围内创建新的 Azure 负载测试资源。
Azure 负载测试资源中现有组件的策略评估可能最多需要一小时(平均为一小时)或最多需要两个小时才能在门户中查看符合性结果。
如果合规性结果显示为“未启动”,则可能是由于以下原因:
- 策略评估未完成。 初始评估延迟最多可能需要两个小时。
- 策略分配范围内没有 Azure 负载测试资源。
后续步骤
- 了解有关 Azure Policy 服务的详细信息
- 请参阅密钥保管库示例:Azure 负载测试内置策略定义